EDV:SecureLinuxPC: Difference between revisions

From KIP Wiki
⧼kip-jumptonavigation⧽⧼kip-jumptosearch⧽
(erstmal speichern)
 
mNo edit summary
Line 4: Line 4:
Die meisten Sachen sind von einer älteren Seiten übernommen worden, sollten allerdings noch so oder so ähnlich gültig sein.
Die meisten Sachen sind von einer älteren Seiten übernommen worden, sollten allerdings noch so oder so ähnlich gültig sein.


== mail ==
== Mail ==
Aufgrund der speziellen mail-Situation in Heidelberg (siehe auch [http://www.urz.uni-heidelberg.de/AllgemeinInfo/Ordnungen/firewall.shtml Mail-Firewall]) muss man dem lokalen [http://de.wikipedia.org/wiki/Mail_Transfer_Agent MTA] auf eine bestimmte Weise konfigurieren, wenn der Rechner mails verschicken können soll.
Aufgrund der speziellen mail-Situation in Heidelberg (siehe auch [http://www.urz.uni-heidelberg.de/AllgemeinInfo/Ordnungen/firewall.shtml Mail-Firewall]) muss man dem lokalen [http://de.wikipedia.org/wiki/Mail_Transfer_Agent MTA] auf eine bestimmte Weise konfigurieren, wenn der Rechner mails verschicken können soll.
Und zwar müssen alle Mails über den Mailserver des [[KIP]] versendet werden anstatt direkt ('''Smarthost''').
Und zwar müssen alle Mails über den Mailserver des [[KIP]] versendet werden anstatt direkt ('''Smarthost''').
Line 46: Line 46:
/etc/init.d/exim4 restart
/etc/init.d/exim4 restart
echo "Init-Mail-Test from Host '$HOSTNAME' - $RANDOM" | mail -s "Init-Mail-test from $HOSTNAME" root
echo "Init-Mail-Test from Host '$HOSTNAME' - $RANDOM" | mail -s "Init-Mail-test from $HOSTNAME" root

== root-mails ==
Verschiedentlich werden Fehlermeldungen, Warnungen etc. auf einem Linux-Rechner als mail an den User 'root' verschickt.
Der/Die verantwortungsvolle Linux-User/in loggt sich aber normalerweise nur als 'root' ein, wenn administratives gemacht werden soll. D.h. er/sie wird diese Meldungen sehr spät oder nie erhalten.
Deshalb sollte man für den User 'root' ein alias einrichten:

'''/etc/aliases''':
postmaster: root
...
root: sesselm

sesselm: sesselm@kip.uni-heidelberg.de

Revision as of 12:10, 26 November 2007

Absichern eines Linux PCs

Hier gibt es verschiedene Tipps wie man einen Linux PC absichert. Die meisten Sachen sind von einer älteren Seiten übernommen worden, sollten allerdings noch so oder so ähnlich gültig sein.

Mail

Aufgrund der speziellen mail-Situation in Heidelberg (siehe auch Mail-Firewall) muss man dem lokalen MTA auf eine bestimmte Weise konfigurieren, wenn der Rechner mails verschicken können soll. Und zwar müssen alle Mails über den Mailserver des KIP versendet werden anstatt direkt (Smarthost).

sendmail (Bsp. SuSe)

In der Datei /etc/rc.config.d/sendmail.rc.config müssen die folgenden Eintragungen gemacht werden.

  SENDMAIL_TYPE="yes"
  SENDMAIL_SMARTHOST="[mail.kip.uni-heidelberg.de]"

Danach als root 'SuSEconfig' eingeben. Es ist übrigens nicht so ohne weiteres möglich, dass Ihr Rechner mails unter [Benutzername]@[Rechnername].kip.uni-heidelberg.de empfängt! Auch das hat mit dem mail-firewall zu tun.

exim4 (Bsp. debian)

Test ob exim installiert ist:

aptitude search exim4

Die /etc/exim4/update-exim4.conf.conf neu erstellen:

cp /etc/exim4/update-exim4.conf.conf /etc/exim4/update-exim4.conf.conf.old
grep '^#' /etc/exim4/update-exim4.conf.conf.old > /etc/exim4/update-exim4.conf.conf
echo "
dc_eximconfig_configtype='smarthost'
dc_other_hostnames='$HOSTNAME.kip.uni-heidelberg.de'
dc_local_interfaces='127.0.0.1'
dc_readhost='$HOSTNAME.kip.uni-heidelberg.de'
dc_relay_domains=
dc_minimaldns='false'
dc_relay_nets='127.0.0.1/24'
dc_smarthost='mail.kip.uni-heidelberg.de'
CFILEMODE='644'
dc_use_split_config='false'
dc_hide_mailname='false'
dc_mailname_in_oh='true'
dc_localdelivery='mail_spool'" >>/etc/exim4/update-exim4.conf.conf

echo "$HOSTNAME.kip.uni-heidelberg.de" > /etc/mailname

Exim updaten und neu starten:

update-exim4.conf
/etc/init.d/exim4 restart
echo "Init-Mail-Test from Host '$HOSTNAME' - $RANDOM" | mail -s "Init-Mail-test from $HOSTNAME" root

root-mails

Verschiedentlich werden Fehlermeldungen, Warnungen etc. auf einem Linux-Rechner als mail an den User 'root' verschickt. Der/Die verantwortungsvolle Linux-User/in loggt sich aber normalerweise nur als 'root' ein, wenn administratives gemacht werden soll. D.h. er/sie wird diese Meldungen sehr spät oder nie erhalten. Deshalb sollte man für den User 'root' ein alias einrichten:

/etc/aliases:

postmaster: root
...
root: sesselm
sesselm: sesselm@kip.uni-heidelberg.de